入侵检测技术综述-蜜罐（1）

一、burpsuite pro 版本下载地址https://pan.baidu.com/s/1pMoBYVh   密码bq42

二、入侵检测技术

  1、计算机系统面临的威胁 拒绝服务 概念---->目标服务器不能提供正常的服务，

     引发缘由 服务请求超载，在短时间内向服务器发送大量请求，是目标服务器来不及处理，最终导致服务器奔溃，

      SYN洪水，利用TCP协议在短时间内向服务器发送大量半开链接服务，即只发送SYN/ACK报文，而不发送最后的ACK报文，使得目标服务器保留链接资源，希望收到可能传送的报文，导致在但时间内耗尽目标服务器系统资源。造成链接请求无法得到响应。

      报文超载一般是向服务器发送大量的响应报文MICMP等，使得目标主机无法响应大量的报文

  2、欺骗，IP地址欺骗，Internet缺乏地址安全认证机制，攻击者将攻击数据包的源IP地址伪装成合法的IP地址，欺骗网络安全设备，进入用户内联网路

     一种是基于ICMP的路由欺骗，攻击者特意伪装路由器将构造的ICMP重定向报文发给目标主机，目标主机修改自己的路由表，将报文按照攻击者只是的路由发往不可控制的网络

      一种是基于RIP的路由欺骗，攻击者通过广播错误的路由信息使得被动接受路由信息的网络或者主机按照攻击者的意图构造错误的路由表项

      一种是源路由欺骗 攻击者利用IP的源路由机制，将正常的数据包重定向到指定的网络主机上。

3、DNS欺骗  攻击者先与域名服务器返回给目标主机一个伪造的数据报文，将目标主机链接到受攻击者控制的非法主机上，或者进行IP地址验证时进行欺骗服务器。

4、web欺骗 攻击者创建某个网络的镜像，使得用户访问镜像网站，

5、监听技术 分析网络数据，获得目标主机的拓扑结构，主机服务提供情况，将自己的网卡配置成混杂模式就可以获得整个局域网上的传递的明文数据。

6、密码破解 之前最常用的方法就是密码爆破，但是现在还是对数据库的挖掘

7、木马 利用欺骗手段将木马程序种植到目标主机上，运行木马程序开启后门，将用户的信息传递到指定主机上

8、缓冲区溢出  操作系统为程序分配数据缓冲区，故意向缓冲区传递超出缓冲区数据，数据将覆盖程序或函数的返回地址，使得指令跳转到入侵者希望执行的位置继续执行，即攻击代码位置。

9、ICMP秘密通信 原因是ICMP的某些字段并不会被安全设备进行检查，攻击者可以利用这些字段进行攻击

10、TCP会话劫持 攻击者强行介入已近建立连接的TCP，进而达到进入目标系统